Vos prieš kelias dienas buvo paskelbta apie „Zeek 8.0“ – naujos tinklo srauto analizės ir įsilaužimų aptikimo sistemos, anksčiau žinomos kaip „Bro“, versijos – išleidimą. Ši programinė įranga, plačiai pripažinta saugumo ir pažangios stebėjimo aplinkose, sujungia galią, lankstumą ir mastelio keitimą didelio pralaidumo tinkluose, išlikdama viena išsamiausių priemonių, skirtų nuodugniai su saugumu susijusių protokolų ir įvykių analizei.
Jo konstrukcija leidžia išsamiai įrašyti tinklo veiklą, daugiausia dėmesio skiriant anomalijų aptikimui ir pritaikytų politikų kūrimui. Tam pasiekti naudojama speciali scenarijų kalba, leidžianti apibrėžti kiekvienos organizacijos infrastruktūrai pritaikytus stebėjimo scenarijus.
Dėl modulinės architektūros „Zeek“ gali analizuoti įvairius taikomųjų programų protokolus, vertindamas ne tik pagrindines tinklo antraštes, bet ir ryšio būseną bei srauto elgseną. Tai daro jį strateginiu ištekliumi saugumo valdymo ir skaitmeninės teismo ekspertizės srityse.
„Zeek 8.0“ svarbiausi aspektai
Pasirodė 8.0.0 versija su techniniais patobulinimais, kurie išplečia vieną iš svarbiausių funkcijų yra Galimybė konfigūruoti tinklo srauto rinkinio identifikatorius naudojant papildinius, kurie padeda išvengti susidūrimų, atskirdami srautus sudėtingose aplinkose. Dabar, be IP adresų, prievadų ir protokolų, Jie gali būti laikomi VLAN žymėmis arba įkapsuliuotais srauto identifikatoriais, tokiais kaip VXLAN ir Geneve.
Kitas pokytis yra „ZeroMQ“ pagrindu sukurtos klasterio vidinės sistemos įdiegimas, kuris jau yra paruoštas gamybinei aplinkai. Nors „Broker“ posistemė išlieka numatytoji, Ateitis rodo visišką migraciją į „ZeroMQ“, kuris supaprastins pranešimų platinimą be tarpinio tarpinio serverio poreikio.
Analizatorių srityje, „Zeek“ palaiko pagrindinius protokolus, tokius kaip „Redis“, kad dabar turi specialų operacijų žurnalą ir SMTP patobulinimus, Tai leidžia išgauti el. laiškus .eml formatu analizei. Taip pat patobulintas FTP su TLS autentifikavimu, NAPTR įrašų aptikimo DNS ir PPPoE sesijos ID matomumo palaikymas.
Paskutinės minutės pakeitimai ir techniniai patikslinimai
Perėjimas prie „Zeek 8.0.0“ taip pat apima reikšmingus struktūrinius pakeitimus. Nuo šio leidimo sistemos kūrimas priklauso nuo „ZeroMQ“ bibliotekos, Tai atveria kelią galutiniam perėjimui prie naujos klasterio posistemės. Be to, „Zeek“ ir jo submoduliams dabar reikalingi su C++20 suderinami kompiliatoriai (bent jau GCC 10, Clang 8 arba Visual Studio 2022).
Kitas aktualus pakeitimas yra pakeičiant „zeek::Span“ klasę standartine „std::span“, kas paveikia įskiepių kūrėjus, kurie naudoja telemetrijos posistemį. Taip pat buvo atliktas platus kodo bazės valymas, pašalinant nereikalingas priklausomybes ir atliekant tikslų derinimą, įskaitant tvarkymą.
Dėl žurnalai, analyzer.log ir dpd.log failai buvo sujungti, Dabar išvesties formatų keitimo galimybė pasiekiama naudojant „logsschema“ paketą, leidžiantį naudoti ne tik tradicinius tekstinius žurnalus, bet ir JSON arba CSV formatus. Be to, buvo pakoreguotas laiko žymų apdorojimas, o tai pagerina įvykių nuoseklumą, nors tam gali reikėti modifikuoti esamus scenarijus.
Išplėstinė telemetrija ir naujos klasterio galimybės
Klasterių valdymas Zeeke taip pat sulaukia reikšmingo atnaujinimo. Naudodama „ZeroMQ“ vidinę sistemą ir „WebSocket“ API, „Zeekctl“ gali efektyviau bendrauti su atskirais mazgais., todėl lengviau vykdyti komandas ir stebėti našumą.
Telemetrija taip pat išplėsta konfigūruojamomis metrikomis, leidžiančiomis įrašyti įeinančių ir išeinančių įvykių skaičių, jų dydį ir net juos generuojančių scenarijų kilmę. Dėl šio detalumo galima optimizuoti mazgų apkrovą ir aptikti kliūtis realiuoju laiku.
La „WebSocket“ API prideda „X-Application-Name“ antraštės palaikymą, o tai leidžia nustatyti konkrečius rodiklius kiekvienai programai ir palengvina stebėjimą paskirstytose aplinkose.
Pagaliau jei norite sužinoti daugiau apie tai apie šį leidimą, galite patikrinti išsamią informaciją Šioje nuorodoje.
Kaip įdiegti „Zeek“ į „Linux“?
Tiems, kurie domisi galimybe įdiegti Zeek savo sistemoje, jie turėtų žinoti, kad iš anksto sukurti dvejetainiai failai siūlomi per iš openSUSE Build Service ir pakanka pasirinkti platinimą, kad jis pateiktų mums diegimo komandas.
Pavyzdžiui, Ubuntu 25.04 atveju:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_25.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_25.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek
Arba jūsų atveju, naudojant „Ubuntu 24.04“:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_24.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_24.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null sudo apt update sudo apt install zeek
Tiems, kurie yra „Arch Linux“ naudotojai, jie turėtų turėti tik įjungtą AUR saugyklą ir įvesti terminalą:
yay -S zeekJei norite patys sudaryti kodą arba sužinoti daugiau, galite peržiūrėti Zeek dokumentaciją adresu sekanti nuoroda.